ISO 27001:2022 bilaga A 5.9 – Inventering av information och andra tillhörande tillgångar

• Se ISO 27002:2022 Kontroll 5.9 för mer information.
• Se ISO 27001:2013 bilaga A 8.1.1 för mer information.
• Se ISO 27001:2013 bilaga A 8.1.2 för mer information.

ISO 27001 Annex A 5.9: En guide till hantering av informationstillgångar

ISO 27001: 2022 Bilaga A Kontroll 5.9 heter Inventering av information och andra tillhörande tillgångar.

Det kräver att organisationer identifierar och dokumenterar de tillgångar som är viktiga för deras verksamhet och tillhörande risker, och vidtar åtgärder för att skydda dem. Detta säkerställer att tillgångar hanteras och övervakas på lämpligt sätt, vilket hjälper till att säkerställa att de är säkra.

I bilaga A till ISO 27001:2022 beskrivs kontroll 5.9, som förklarar hur en lista med information och relaterade tillgångar, tillsammans med deras respektive ägare, måste skapas och hållas uppdaterad.

Inventering av informationstillgångar förklaras

Organisationen måste erkänna vad den har tillgång till för att kunna bedriva sin verksamhet. Den måste vara medveten om sina informationstillgångar.

En omfattande IA är en avgörande del av alla organisationers datasäkerhetspolicy. Det är en inventering av varje datapost som lagras, bearbetas eller överförs, såväl som platserna och säkerhetskontrollerna för var och en. Det är i huvudsak den finansiella redovisningens motsvarighet till dataskydd, vilket gör att organisationer kan identifiera varje del av data.

En IA kan användas för att identifiera svagheter i ditt säkerhetsprogram och ge information att bedöma cyberrisker som kan leda till intrång. Det kan också vara bevis för att visa att du har vidtagit åtgärder för att identifiera känsliga uppgifter vid efterlevnadsrevisioner, som hjälper dig att undvika böter och straff.

Smakämnen inventering av informationstillgångar bör specificera vem som äger och är ansvarig för varje tillgång, samt värdet och betydelsen av varje post för organisationens verksamhet.

Det är avgörande att hålla lager aktuella för att säkerställa att de korrekt återspeglar förändringar inom organisationen.

Varför behöver jag en inventering av informationstillgångar?

Information Asset Management har en lång tradition inom affärskontinuitetsplanering (BCP), disaster recovery (DR) och förberedelser för incidenthantering.

Att identifiera kritiska system, nätverk, databaser, applikationer, dataflöden och andra komponenter som kräver säkerhet är det första steget i någon av dessa processer. Utan kunskap om vad som behöver skyddas, och var det finns, kan du inte planera för hur du ska skydda det.

Vad är syftet med ISO 27001:2022 bilaga A Kontroll 5.9?

Kontrollen syftar till att erkänna organisationens information och tillhörande tillgångar för att säkerställa informationssäkerhet och utse rätt äganderätt.

I bilaga A till ISO 27001:2022 beskrivs kontroll 5.9, som beskriver syftet och implementeringsvägledning för att skapa en inventering av information och andra tillgångar i relation till ISMS-ramverket.

Inventera all information och tillhörande tillgångar, klassificera i kategorier, identifiera ägare och dokumentera befintliga/nödvändiga kontroller.

Detta är ett viktigt steg för att garantera att alla datatillhörigheter är tillräckligt skyddade.

Vad är inblandat och hur man uppfyller kraven

För att uppfylla kriterierna för ISO 27001:2022 måste du identifiera informationen och andra tillhörande tillgångar inom din organisation. Därefter bör du bedöma betydelsen av dessa poster med avseende på informationssäkerhet. Om det behövs, föra register i dedikerade eller befintliga inventarier.

Storleken och komplexiteten hos en organisation, befintliga kontroller och policyer, och de typer av information och tillgångar den använder kommer alla att ha en effekt på utvecklingen av en inventering.

Att säkerställa att inventeringen av information och andra tillhörande tillgångar är korrekt, uppdaterad, konsekvent och i linje med andra inventeringar är nyckeln, enligt kontroll 5.9. För att garantera noggrannhet kan man överväga följande:

• Genomför systematiska värderingar av noterad information och tillhörande tillgångar i enlighet med tillgångskatalogen.
• Under processen att installera, ändra eller ta bort en tillgång kommer en lageruppdatering automatiskt att tillämpas.
• Inkludera var en tillgång finns i inventeringen om det behövs.

Vissa organisationer kan behöva hålla flera lager för olika ändamål. De kan till exempel ha specialiserade lager för programvarulicenser eller fysiska enheter som bärbara datorer och surfplattor.

Det är viktigt att regelbundet inspektera allt fysiskt lager som inkluderar nätverksenheter som routrar och switchar för att upprätthålla noggrannheten i inventeringen för riskhanteringssyften.

För mer information om att uppfylla kontroll 5.9, bör ISO 27001:2022-dokumentet konsulteras.

Skillnader mellan ISO 27001:2013 och ISO 27001:2022

I ISO 27001:2022 har 58 kontroller från ISO 27001:2013 reviderats och ytterligare 24 kontroller har slagits samman. Nya 11 kontroller har lagts till, medan några raderas.

Därför hittar du inte Bilaga A Kontroll 5.9 – Inventering av information och andra tillhörande tillgångar – i 2013 års version, som det nu är en kombination av ISO 27001:2013 bilaga A 8.1.1 – Inventering av tillgångar - och ISO 27001:2013 bilaga A 8.1.2 – Ägande av tillgångar – i 2022 års version.

Bilaga A till ISO 27001:2022 beskriver kontroll 8.1.2, Ägande av tillgångar. Detta säkerställer att alla informationstillgångar är tydligt identifierade och ägda. Att veta vem som äger vad hjälper till att fastställa vilka tillgångar som behöver skyddas och vem som kräver ansvar.

ISO 27001:2013 och ISO 27001:2022 har båda liknande kontroller, dock har bilaga A kontroll 5.9 i den senare utökats för att ge en enklare tolkning. Till exempel dikterar implementeringsvägledningen om ägande av tillgångar i kontroll 8.1.2 att tillgångsägaren ska:

• Se till att alla tillgångar är korrekt registrerade i inventeringen.
• Se till att tillgångar klassificeras och skyddas på lämpligt sätt.
• Regelbundet granska och definiera åtkomstbegränsningar och klassificeringar för nyckeltillgångar, med hänsyn till tillämpliga policyer för åtkomstkontroll.
• Se till att lämpliga åtgärder vidtas när tillgången avyttras eller förstörs.

Ägaravsnittet i kontroll 5.9 har utökats till att omfatta nio punkter, istället för de ursprungliga fyra. Rättelser har gjorts i stavning och grammatik, och tonen har ändrats till en professionell, vänlig stil. Redundans och upprepning har eliminerats och skrivandet är nu i en aktiv stil.

Tillgångsägaren bör ta ansvar för lämplig tillsyn av en tillgång under dess livscykel, och se till att:

• All data och relaterade resurser är listade och dokumenterade.
• Se till att all data, relaterade tillgångar och andra relaterade resurser är korrekt klassificerade och skyddade.
• Klassificeringen ses över regelbundet för att säkerställa dess riktighet.
• Komponenter som upprätthåller teknologitillgångar registreras och relaterade till varandra, inklusive databaser, lagring, programvarukomponenter och underkomponenter.
• Kraven på acceptabel användning av information och andra tillhörande tillgångar anges i 5.10.
• Åtkomstbegränsningar överensstämmer med klassificeringen och visar sig vara effektiva, ses över regelbundet för att säkerställa kontinuerligt skydd.
• Information och andra tillhörande tillgångar hanteras säkert när de raderas eller kasseras och tas bort från inventeringen.
• De är ansvariga för att identifiera och hantera riskerna kopplade till deras tillgång(ar).
• De ger stöd till personal som hanterar deras information och tar på sig de roller och det ansvar som är förknippat med den.

Att slå samman dessa två kontroller till en underlättar användarens förståelse.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje individ ISO 27001:2022 bilaga A Kontrollera.

Vad betyder dessa förändringar för dig?

De senaste ändringarna i ISO 27001 påverkar inte din nuvarande certifiering mot ISO 27001-standarderna. Endast uppgraderingar till ISO 27001 kan ha effekt på befintliga certifieringar. Ackrediteringsorgan kommer att samarbeta med de certifierande organen för att utforma en övergångsperiod som ger organisationer med ISO 27001-certifikat tillräckligt med tid för att gå från en version till nästa.

Dessa steg måste vidtas för att uppfylla den reviderade versionen:

• Se till att ditt företag uppfyller de senaste reglerna genom att granska riskregistret och riskhanteringsprocedurerna.
• Bilaga A bör ändras för att återspegla eventuella ändringar av tillämplighetsförklaringen.
• Se till att dina policyer och rutiner är uppdaterade för att följa de nya reglerna.

Under övergången till den nya standarden kommer vi att ha tillgång till nya bästa praxis och kvaliteter för kontrollval, vilket möjliggör en mer effektiv och effektiv urvalsprocess.

Du bör fortsätta med en riskbaserad metod för att garantera att endast de mest relevanta och effektiva kontrollerna väljs ut för ditt företag.

Hur ISMS.online hjälper

ISMS.online är idealiskt för att implementera ditt ISO 27001 Information Security Management System. Den har utformats speciellt för att hjälpa företag att uppfylla kraven i standarden.

Smakämnen plattformen tillämpar en riskorienterad metod i kombination med ledande branschpraxis och mallar för att hjälpa dig att fastställa vilka risker din organisation står inför och de kontroller som krävs för att hantera dem. Detta gör det möjligt för dig att systematiskt minska både din riskexponering och efterlevnadskostnader.

ISMS.online låter dig:

1. Utveckla en Information Security Management System (ISMS).
2. Skapa en skräddarsydd uppsättning policyer och procedurer.
3. Implementera ett ISMS för att uppfylla ISO 27001-standarderna.
4. Ta hjälp av erfarna konsulter.

Du kan dra nytta av ISMS.online för att bygga ett ISMS, skapa en anpassad uppsättning policyer och processer, följa ISO 27001-kriterierna och få hjälp av erfarna rådgivare.

ISMS.online-plattformen är baserad på Plan-Do-Check-Act (PDCA), en iterativ procedur i fyra steg för kontinuerlig förbättring, som uppfyller alla krav i ISO 27001:2022. Det är okomplicerat. Kontakta oss nu för att arrangera din demonstration.